Offcanvas

보안 / 애플리케이션

'침투 테스트 툴의 역습' 코발트 스트라이크 크랙 버전 주의보

2022.12.02 Lucian Constantin  |  CSO
구글이 코발트 스트라이크(Cobalt Strike) 침투 테스트 프레임워크의 악성 변형에 대한 YARA 탐지 규칙 목록을 공개했다. 코발트 스트라이크는 레드 팀을 위한 상용 공격 프레임워크지만 APT 그룹부터 랜섬웨어 범죄 조직, 기타 사이버 범죄자에 이르기까지 많은 위협 행위자가 사용한다.
 
ⓒ Getty Images Bank
 

일반화된 자급자족 전술

시스템에 이미 설치돼 있거나 의심을 사지 않으면서 쉽게 배포할 수 있는 시스템 관리, 포렌식 또는 보안 툴을 공격자가 악용하는 것은 이제 매우 흔한 수법이다. 자급자족(Living Off the Land: LOTL) 전술이라고도 하는 이 방식은 한때는 수동 해킹을 통해 환경 내에서 횡으로 이동하고 은밀성에 큰 가치를 뒀던, 실력이 뛰어난 사이버 스파이 그룹을 나타내는 표식이었다. IT 또는 보안 팀이 작업 환경에서 일반적으로 사용하는 툴을 이용하면 조직이 사용하는 악성코드 탐지 및 차단 방법으로 알아내기가 어렵다는 사실에 착안한 수법이다. 보안 업체 역시 높은 오탐지 위험 탓에 이러한 툴에 악성 플래그를 달기를 주저한다.

이 전술의 성공을 지켜본 많은 사이버 범죄 조직도 자체 전파 기능이 있는 고도로 자동화된 악성코드를 사용해 최대한 많은 시스템을 감염시키는 기존 방법에서 변화를 꾀하기 시작했다. 이제는 취약한 진입점을 찾아 원격 액세스를 위한 가벼운 임플란트를 배포한 다음 오픈소스 네트워크 스캐너, 자격 증명 덤퍼, 정상적인 특권 승격 툴 등을 사용해 횡적으로 이동한다.

이 변화가 잘 드러나는 공격 분야 중 하나가 랜섬웨어다. 예전의 랜섬웨어는 자동화된 익스플로잇을 사용해 네트워크를 타고 전파되면서 모두에게 동일한 랜섬 노트를 남겼다. 지금은 대부분의 랜섬웨어 프로그램이 공격의 마지막 단계, 즉 해커가 이미 네트워크에 침입해 며칠 또는 몇 주 동안 활동하면서 도메인 관리자 액세스 권한을 획득한 후에 수동으로 배포된다.
 

코발트 스트라이크란 무엇인가

코발트 스트라이크는 침투 테스터와 보안 레드 팀이 실제 사이버 위협을 시뮬레이션하기 위해 사용하도록 만들어진 폭넓은 맞춤 구성이 가능한 공격 프레임워크다. 단일 자바 아카이브 파일(JAR)로 배포되며 파일에는 공격 명령 서버인 팀 서버(Team Server), 서버와 상호작용하기 위한 그래픽 사용자 인터페이스를 갖추고 공격자 시스템에서 실행되는 클라이언트, 그리고 피해자 시스템에 배포되는 원격 액세스 임플란트인 비컨(Beacon)이 포함돼 있다.

서버에는 공격자가 표적 시스템에서 셸코드를 실행하는 데 사용할 수 있는 자바스크립트, VBA 매크로, 파워셸의 다양한 템플릿도 포함된다. 셸코드는 HTTPS, SMB, DNS 등 지원되는 여러 프로토콜 중 하나로 팀 서버에 연결해 비컨을 다운로드한다.

현재 시중에는 코발트 스트라이크 외의 다른 침투 테스트 프레임워크도 있고 사이버 범죄자들 역시 코발트 스트라이크만 사용하는 것은 아니다. 오픈소스 메타스플로잇 프레임워크(Metasploit Framework)와 미터프리터(Meterpreter) 임플란트는 코발트 스트라이크가 나오기 훨씬 전부터 악의적 공격에 사용됐다. 실제로 코발트 스트라이크 자체도 메타스플로잇 프레임워크에 뿌리를 두며, 메타스플로잇 프레임워크를 위한 자바 기반 GUI 프론트 엔드인 아미티지(Armitage)의 파생 프로젝트로 출발했다. 또 다른 포스트 익스플로잇 및 적대적 시뮬레이션 프레임워크인 파워셸 엠파이어(PowerShell Empire) 역시 한때 공격자 사이에서 인기를 끌었는데, 이 프로젝트는 더 이상 유지 관리되지 않는다.
 

오래된 크랙 버전 악용

그러나 다른 툴과 달리 코발트 스트라이크는 무료가 아니다. 사실 상당히 비싸서, 사용자별 연간 라이선스 요금이 5,900달러에 이른다. 코발트 스트라이크에 의존하는 대부분 공격자는 비용을 피하기 위해 온라인으로 유출된 오래된 크랙 버전을 사용한다. 여기서 탐지 기회가 발생한다. 정상적으로 결제하는 고객은 최신 버그 수정이 모두 포함된 최신 버전의 프레임워크를 사용할 가능성이 높기 때문이다. 구글 연구원들은 이 점에 착안해서 2012년부터 출시된 코발트 스트라이크의 모든 버전을 각각 고유한 파일과 템플릿을 매핑하는 작업을 시작했다.

구글 클라우드 위협 인텔리전스(GCTI) 연구원은 블로그를 통해 “유출된 코발트 스트라이크의 크랙 버전은 포트라(Fortra: 코발트 스트라이크를 소유하고 판매하는 회사)의 최신 버전이 아니며 일반적으로 한 릴리스 버전 이상 뒤처져 있다. 우리는 이와 같은 구 버전에 집중하고자 수백 개의 고유한 서명을 만들었고 이를 바이러스토탈(VirusTotal)에서 사용 가능한 커뮤니티 서명 모음으로 통합했다. 또한 자체 제품에 이 서명을 배포할 의사가 있는 사이버 보안 업체에 오픈소스로 서명을 공개하는 등 업계 전반의 오픈소스 보안을 개선하기 위한 노력을 지속해 나가고 있다”고 말했다.

구글 팀은 깃허브에 YARA 규칙도 공개했다. YARA는 악성코드를 식별하고 카탈로그화하기 위한 오픈소스 크로스 플랫폼 툴로, 대부분의 보안 업체에서 사용하고 지원한다. 보안 팀이 내부적으로 YARA를 사용해 네트워크의 위협 요소를 찾을 수도 있다. 구글의 규칙에는 각각 10~100개의 공격 템플릿과 고유한 비컨 구성 요소가 있는 34개 코발트 스트라이크 버전을 포괄하는 165개의 서명이 포함된다.
 

누가 코발트 스트라이크를 사용하나

코발트 스트라이크는 오래전부터 APT 그룹에 사용됐지만 이 툴을 광범위하게 사용한 최초의 사이버 범죄 조직은 카바낙(Carbanak)이다. 카바낙은 여러 부서로 구성된 종합 그룹으로, 금융 기관과 소매업체를 표적으로 삼아 네트워크에 잠입한 후 피해 기업의 금융 프로세스와 워크플로우를 파악한 뒤 송금하는 방식으로 막대한 돈을 훔친다. 카바낙은 공격 전반에서 폭넓게 코발트 스트라이크를 사용하기 때문에 한때는 코발트고블린(CobaltGoblin)이나 코발트 그룹이라고 불렸다.

코발트 스트라이크에 많은 부분을 의존하는 또 다른 악명 높은 그룹으로 위저드 스파이더(Wizard Spider)가 있다. 유명한 트릭봇(Trickbot) 봇넷, 류크(Ryuk)와 콘티(Conti) 랜섬웨어 프로그램을 만든 그룹이다. 보안 업체 팔로알토 네트웍스의 최신 보고서에 따르면, 리빌(REvil) 랜섬웨어 조직에서 파생됐을 가능성을 언급한 랜섬 카르텔(Ransom Cartel)도 코발트 스트라이크를 사용한다.

보안 업체 ESET의 2022년 2분기 APT 활동에 관한 최근 보고서를 보면, 듀크(Dukes, APT29)가 정부 조직 대상의 .ISO 이미지를 사용한 스피어 피싱 캠페인에서 최종 페이로드로 계속 코발트 스트라이크를 사용하고 있다. 이 활동은 CISA와 FBI가 지난 5월 공동 배포한 경보의 내용과도 일치한다. APT29는 러시아 해외정보국(SVR)과 관계가 있다. 중국 정부의 후원을 받는 APT19, APT32, APT41을 포함한 여러 사이버 스파이 그룹 역시 코발트 스트라이크를 사용한다.

사이브러리(Cybrary)의 선임 보안 연구원인 맷 뮬린스는 CSO와의 인터뷰에서 “유출/크랙된 코발트 스트라이크 버전의 변형을 서명화하는 GCTI의 노력은 DFIR 커뮤니티에 좋은 출발점이다. GCTI가 제공한 규칙은 각 버전, 해당 버전의 기본값에 대한 중요한 문자열/명명 규칙, 그리고 이러한 행위와 관련된 어셈블리의 여러 중요한 측면을 구체적으로 기술한다. 이는 위협 행위자에 의해 광범위하게 확산하고 사용되는 관련 버전을 매우 정확히 탐지할 수 있게 해준다. 이 정보는 직접 찾아서 측량하는 데 필요한 스킬셋이나 리소스가 없을 수도 있는 내부 팀의 무거운 부담을 상당 부분 덜어준다”라고 말했다.
editor@itworld.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.